Richtlinien für die Sitzungsaufzeichnung konfigurieren

Sie können systemdefinierte Aufzeichnungsrichtlinien aktivieren oder eigene Aufzeichnungsrichtlinien erstellen und aktivieren. Systemdefinierte Aufzeichnungsrichtlinien wenden eine einzige Regel auf ganze Sitzungen an. Benutzerdefinierte Aufzeichnungsrichtlinien legen fest, welche Sitzungen aufgezeichnet werden.

Die aktive Aufzeichnungsrichtlinie legt fest, welche Sitzungen aufgezeichnet werden. Nur jeweils eine Aufzeichnungsrichtlinie ist aktiv.

Systemdefinierte Aufzeichnungsrichtlinien

Die Sitzungsaufzeichnung bietet die folgenden systemdefinierten Aufzeichnungsrichtlinien:

• Nicht aufzeichnen. Die Standardrichtlinie. Wenn Sie keine andere Richtlinie festlegen, wird keine Sitzung aufgezeichnet.

• Ganze Sitzungen ohne Audio aufzeichnen (für alle, mit Benachrichtigung). Mit dieser Richtlinie werden ganze Sitzungen aufgezeichnet (Bildschirme und Ereignisse, jedoch kein Audio). Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

• Ganze Sitzungen ohne Audio aufzeichnen (für alle, ohne Benachrichtigung) Mit dieser Richtlinie werden ganze Sitzungen aufgezeichnet (Bildschirme und Ereignisse, jedoch kein Audio). Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

• Aufzeichnen von ganzen Sitzungen ohne Audio mit aktivierter verlustbehafteter Bildschirmaufzeichnung (für alle, ohne Benachrichtigung). Mit dieser Richtlinie werden ganze Sitzungen aufgezeichnet (Bildschirme und Ereignisse, jedoch kein Audio). Die verlustbehaftete Bildschirmzeichnung ist aktiviert, um die Größe der Aufzeichnungsdateien zu reduzieren. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

• Aufzeichnen von ganzen Sitzungen ohne Audio mit aktivierter verlustbehafteter Bildschirmaufzeichnung (für alle, ohne Benachrichtigung). Mit dieser Richtlinie werden ganze Sitzungen aufgezeichnet (Bildschirme und Ereignisse, jedoch kein Audio). Die verlustbehaftete Bildschirmzeichnung ist aktiviert, um die Größe der Aufzeichnungsdateien zu reduzieren. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

• Ganze Sitzungen mit Audio aufzeichnen (für alle, mit Benachrichtigung). Mit dieser Richtlinie werden ganze Sitzungen aufgezeichnet (Bildschirme, Ereignisse und Audio). Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen. Sie können jetzt die Audioaufzeichnung für nicht optimiertes HDX-Audio aktivieren. Audio, das auf dem VDA verarbeitet und an den/von dem Client übertragen wird, auf dem die Citrix Workspace-App installiert ist, wird als nicht optimiertes HDX-Audio bezeichnet. Im Gegensatz zu nicht optimiertem HDX-Audio wird die Verarbeitung bei optimiertem HDX-Audio, ähnlich wie bei der Browserinhaltsumleitung und der Optimierung für Microsoft Teams, auf den Client verlagert.

• Ganze Sitzungen mit Audio aufzeichnen (für alle, ohne Benachrichtigung). Mit dieser Richtlinie werden ganze Sitzungen aufgezeichnet (Bildschirme, Ereignisse und Audio). Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

• Nur Ereignisse aufzeichnen (für alle, mit Benachrichtigung). Diese Richtlinie zeichnet nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es erfolgt keine Bildschirm- oder Audioaufzeichnung. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

• Nur Ereignisse aufzeichnen (für alle, ohne Benachrichtigung). Diese Richtlinie zeichnet nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es erfolgt keine Bildschirm- oder Audioaufzeichnung. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

Sie können die systemdefinierten Aufzeichnungsrichtlinien nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie

Sie können die Sitzungen von bestimmten Benutzern oder Gruppen, veröffentlichten Anwendungen oder Desktops, Bereitstellungsgruppen oder VDAs sowie Client-IP-Adressen der Citrix Workspace-App aufzeichnen. Ein Assistent in der Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt Sie beim Erstellen der Regeln. Zum Abrufen der Liste der veröffentlichten Anwendungen oder Desktops sowie Bereitstellungsgruppen oder VDAs ist eine Leseberechtigung als Siteadministrator erforderlich. Konfigurieren Sie die Administrator-Leseberechtigung auf dem Delivery Controller der Site.

Für jede erstellte Regel geben Sie eine Aufzeichnungsaktion und Regelkriterien an. Die Aufzeichnungsaktion gilt für Sitzungen, die das Regelkriterium erfüllen.

Wählen Sie für jede Regel eine Aufzeichnungsaktion aus:

• Sitzungsaufzeichnung mit Benachrichtigung aktivieren. Diese Option zeichnet ganze Sitzungen (Bildschirme und Ereignisse) auf. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen. Sie können auswählen, ob Sie die Audiozeichnung oder die verlustbehaftete Bildschirmaufzeichnung aktivieren möchten.

• Sitzungsaufzeichnung ohne Benachrichtigung aktivieren. Diese Option zeichnet ganze Sitzungen (Bildschirme und Ereignisse) auf. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen. Sie können auswählen, ob Sie die Audiozeichnung oder die verlustbehaftete Bildschirmaufzeichnung aktivieren möchten.

• Nur Ereignis für Sitzungsaufzeichnung aktivieren, mit Benachrichtigung. Wenn Sie nur bestimmte Ereignisse aufzeichnen, können Sie Speicherplatz freigeben. Diese Option zeichnet in Sitzungen nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es zeichnet nicht den Bildschirm auf. Benutzer erhalten im Voraus eine Benachrichtigung über das Aufzeichnen.

• Nur Ereignis für Sitzungsaufzeichnung aktivieren, keine Benachrichtigung. Wenn Sie nur bestimmte Ereignisse aufzeichnen, können Sie Speicherplatz freigeben. Diese Option zeichnet in Sitzungen nur Ereignisse auf, die Ihre Ereigniserkennungsrichtlinie angibt. Es zeichnet nicht den Bildschirm auf. Benutzer erhalten keine Aufzeichnungsbenachrichtigungen.

• Sitzungsaufzeichnung deaktivieren. Diese Option bedeutet, dass keine Sitzungen aufgezeichnet werden.

• Bestimmte Anwendungen während der Bildschirmaufzeichnung ausblenden. Für dieses Feature müssen Sie Verlustbehaftete Bildschirmaufzeichnung aktivieren auswählen. Damit können Sie bestimmte Anwendungen während der Bildschirmaufzeichnung mit einer Ebenenmaske ausblenden. Die Farbe für die Ebenenmaske ist konfigurierbar und kann Schwarz, Grau oder Weiß sein.

  Sie können beispielsweise sehen, dass eine Anwendung während der Wiedergabe der Aufzeichnung ausgeblendet ist:

  

Wählen Sie für jede Regel mindestens eines der folgenden Elemente, um ein Regelkriterium zu erstellen:

• Benutzer oder Gruppen. Erstellt eine Liste der Benutzer oder Gruppen, für die die Aktion der Regel gilt. Sie können in der Sitzungsaufzeichnung Active Directory-Gruppen und Positivlisten für Benutzer verwenden.
• Veröffentlichte Anwendungen oder Desktops. Erstellt eine Liste der veröffentlichten Anwendungen oder Desktops, für die die Aktion der Regel gilt. Wählen Sie im Assistenten für Regeln die Citrix Virtual Apps and Desktops-Sites oder DaaS-Sites (ehemals Citrix Virtual Apps and Desktops Service) aus, auf denen die Anwendungen bzw. Desktops verfügbar sind.
• Bereitstellungsgruppen oder Maschinen. Erstellt eine Liste der Bereitstellungsgruppen oder Maschinen, für die die Aktion der Regel gilt. Wählen Sie im Assistenten für Regeln den Speicherort der Bereitstellungsgruppen oder Maschinen.
• IP-Adresse oder IP-Bereich. Erstellt eine Liste von IP-Adressen oder IP-Adressbereichen, für die die Aktion der Regel gilt. Fügen Sie auf dem Bildschirm IP-Adresse und IP-Bereich auswählen eine gültige IP-Adresse oder einen IP-Adressbereich hinzu, für die bzw. den die Aufzeichnung aktiviert oder deaktiviert werden soll. Bei den hier genannten IP-Adressen handelt es sich um die IP-Adressen der Citrix Workspace-Apps.

Hinweis:

Die Richtlinienkonsole für die Sitzungsaufzeichnung unterstützt das Konfigurieren mehrerer Kriterien innerhalb einer Regel. Ist eine Regel anwendbar, werden zum Berechnen der endgültigen Aktion die logischen Operatoren “AND” und “OR” verwendet. Dabei wird der Operator “OR” meist zwischen Elementen innerhalb eines Kriteriums verwendet, während der Operator “AND” zwischen separaten Kriterien zum Einsatz kommt. Wenn das Ergebnis “true” ist, führt die Engine für die Sitzungsaufzeichnungsrichtlinie die Regelaktion aus. Ansonsten wird die nächste Regel aufgerufen und der Prozess wird wiederholt.

Wenn Sie mehrere Regeln in einer Aufzeichnungsrichtlinie erstellen, können einige Sitzungen die Kriterien für mehrere Regeln erfüllen. In diesen Situationen wird die Regel mit der höchsten Priorität auf die Sitzungen angewendet.

Die Aufzeichnungsaktion einer Regel legt die Priorität fest:

• Regeln mit der Aktion Sitzungsaufzeichnung deaktivieren haben die höchste Priorität.
• Regeln mit der Aktion Sitzungsaufzeichnung mit Benachrichtigung aktivieren haben die zweithöchste Priorität.
• Regeln mit der Aktion Sitzungsaufzeichnung ohne Benachrichtigung aktivieren haben die niedrigste Priorität.
• Regeln mit der Aktion Nur Ereignis für Sitzungsaufzeichnung aktivieren, keine Benachrichtigung haben die mittlere Priorität.
• Regeln mit der Aktion Nur Ereignis für Sitzungsaufzeichnung aktivieren, keine Benachrichtigung haben die niedrigste Priorität.

Einige Sitzungen erfüllen ggf. kein Regelkriterium in einer Aufzeichnungsrichtlinie. Für diese Sitzungen gilt die Aktion der Fallbackregel der Richtlinie. Die Aktion der Fallbackregel ist immer Sitzungsaufzeichnung deaktivieren. Sie können die Fallbackregel nicht ändern oder löschen.

Erstellen einer benutzerdefinierten Aufzeichnungsrichtlinie:

1. Melden Sie sich als autorisierter Richtlinienadministrator bei dem Server an, auf dem die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist.
2. Starten Sie die Richtlinienkonsole für die Sitzungsaufzeichnung und wählen Sie links Aufzeichnungsrichtlinien. Wählen Sie in der Menüleiste Neue Richtlinie hinzufügen.
3. Klicken Sie mit der rechten Maustaste auf Neue Richtlinie und wählen Sie Neue Regel hinzufügen.

4. Wählen Sie im Regelassistenten die eine Aufzeichnungsoption und klicken Sie auf Weiter.

   

   Wenn Sie Sitzungsaufzeichnung mit Benachrichtigung aktivieren oder Sitzungsaufzeichnung ohne Benachrichtigung aktivieren auswählen, können Sie außerdem nach Bedarf die Audioaufzeichnung oder die verlustbehaftete Bildschirmaufzeichnung aktivieren.

   Wenn die verlustbehaftete Bildschirmaufzeichnung aktiviert ist, können Sie außerdem Bestimmte Anwendungen während der Bildschirmaufzeichnung ausblenden auswählen und eine Farbe für die Ebenenmaske angeben, die zum Ausblenden bestimmter Anwendungen verwendet wird. Die Farbe für die Ebenenmaske kann Schwarz, Grau oder Weiß sein.

5. Regelkriterien - Sie können ein oder mehrere Regelkriterien wählen:
   Benutzer oder Gruppen
   Veröffentlichte Anwendungen oder Desktops
   Bereitstellungsgruppen oder Maschinen
   IP-Adresse oder IP-Bereich 

6. Regelkriterium bearbeiten: Klicken Sie zum Bearbeiten auf die unterstrichenen Werte. Welche Werte unterstrichen sind, hängt von den Kriterien ab, die Sie im vorherigen Schritt ausgewählt haben.

   Hinweis:

   Bei Auswahl der Option Veröffentlichte Anwendungen oder Desktops ist die Siteadresse die IP-Adresse, eine URL oder ein Maschinenname, wenn der Controller in einem lokalen Netzwerk ist. Die Liste Name der Anwendung enthält den Anzeigenamen.

   Wenn Sie Veröffentlichte Anwendungen oder Desktops oder Bereitstellungsgruppen oder Maschinen wählen, geben Sie den Delivery Controller an, mit dem die Richtlinienkonsole für die Sitzungsaufzeichnung kommunizieren soll.

   Die Richtlinienkonsole für die Sitzungsaufzeichnung ist die einzige Methode für die Kommunikation mit Delivery Controllern in Citrix Cloud- und On-Premises-Umgebungen.

   

   Beispiel: Klicken Sie für Bereitstellungsgruppen oder Maschinen auf den entsprechenden Hyperlink wie im Screenshot oben, und klicken Sie auf Hinzufügen, um dem Controller Abfragen hinzuzufügen.

   

   Eine Beschreibung der Anwendungsfälle für On-Premises und Citrix Cloud Delivery Controller finden Sie in der folgenden Tabelle:

   Anwendungsfall	Aktion erforderlich
   On-Premises Delivery Controller	Installieren Sie Broker_PowerShellSnapIn_x64.msi. 2. Deaktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
   Citrix Cloud Delivery Controller	Installieren Sie das Citrix DaaS Remote PowerShell SDK. 2. Überprüfen Sie die Anmeldeinformationen des Citrix Cloud-Kontos. 3. Aktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
   Wechseln von einem On-Premises-Delivery Controller zu einem Citrix Cloud Delivery Controller	Deinstallieren Sie Broker_PowerShellSnapIn_x64.msi und starten Sie die Maschine neu. 2. Installieren Sie das Citrix DaaS Remote PowerShell SDK. 3. Überprüfen Sie die Anmeldeinformationen des Citrix Cloud-Kontos. 4. Aktivieren Sie das Kontrollkästchen Citrix Cloud Controller.
   Wechseln von einem Citrix Cloud -Delivery Controller zu einem On-Premises-Delivery Controller	Deinstallieren Sie das Citrix DaaS Remote PowerShell SDK und starten Sie die Maschine neu. 2. Installieren Sie Broker_PowerShellSnapIn_x64.msi. 3. Deaktivieren Sie das Kontrollkästchen Citrix Cloud Controller.

   Überprüfen der Anmeldeinformationen des Citrix Cloud-Kontos

   Für Abfragen an Delivery Controller, die in Citrix Cloud gehostet werden, validieren Sie Ihre Citrix Cloud-Anmeldeinformationen auf der Maschine, auf der die Richtlinienkonsole für die Sitzungsaufzeichnung installiert ist. Sonst kann zu einem Fehler kommen und die Richtlinienkonsole für die Sitzungsaufzeichnung funktioniert möglicherweise nicht wie erwartet.

   Ausführen einer manuellen Überprüfung:

   1. Melden Sie sich an der Citrix Cloud-Konsole an und navigieren Sie zu Identitäts- und Zugriffsverwaltung > API-Zugriff. Erstellen Sie einen API-Zugriff Secure Client, um ein Authentifizierungsprofil zu erhalten, das die Citrix Cloud-Authentifizierungsaufforderungen umgehen kann. Laden Sie Ihren Secure Client herunter, benennen Sie ihn um und speichern Sie ihn an einem sicheren Ort. Der Dateiname wird standardmäßig auf secureclient.csv gesetzt.

      

   2. Öffnen Sie eine PowerShell-Sitzung und führen Sie den folgenden Befehl aus, damit das im vorherigen Schritt erhaltene Authentifizierungsprofil wirksam wird.

      asnp citrix.*
      Set-XDCredentials -CustomerId "citrixdemo" -SecureClientFile "c:\temp\secureclient.csv" -ProfileType CloudAPI –StoreAs "default"
      
      <!--NeedCopy-->
      

      Legen Sie CustomerID und SecureClientFile nach Bedarf fest. Mit dem voranstehenden Befehl wird ein Standardauthentifizierungsprofil für den Kunden citrixdemo erstellt, um Authentifizierungsaufforderungen in den aktuellen und allen nachfolgenden PowerShell-Sitzungen zu umgehen.

7. Folgen Sie dem Assistenten, um die Konfiguration abzuschließen.

Hinweis: Einschränkung für vorab gestartete Anwendungssitzungen:

• Wenn die aktive Richtlinie versucht, den Anwendungsnamen zuzuordnen, kann sie die Anwendungen, die in der vorab gestarteten Sitzung gestartet wurden, nicht zuordnen. Die vorab gestartete Sitzung kann dann nicht aufgezeichnet werden.
• Wenn die aktive Richtlinie jede Anwendung aufzeichnet, wird bei aktiviertem Sitzungsvorabstart eine Aufzeichnungsbenachrichtigung angezeigt, wenn ein Benutzer sich bei der Citrix Workspace-App für Windows anmeldet. Die vorab gestartete (leere) Sitzung und alle Anwendungen, die ab diesem Zeitpunkt in der Sitzung gestartet werden, werden aufgezeichnet.

Veröffentlichen Sie als Workaround Anwendungen gemäß ihrer Aufzeichnungsrichtlinien in separaten Bereitstellungsgruppen. Verwenden Sie keine Anwendungsnamen als Aufzeichnungsbedingung. Dadurch wird sichergestellt, dass vorab gestartete Sitzungen aufgezeichnet werden können. Benachrichtigungen werden jedoch weiterhin angezeigt.

Verwenden von Active Directory-Gruppen

Beim Erstellen von Richtlinien können Sie in der Sitzungsaufzeichnung Active Directory-Gruppen verwenden. Active Directory-Gruppen statt einzelner Benutzer vereinfachen die Erstellung und Verwaltung von Regeln und Richtlinien. Beispiel: Wenn Benutzer in der Buchhaltungsabteilung des Unternehmens zur Active Directory-Gruppe Finanz gehören, können Sie eine Regel erstellen, die für alle Mitglieder dieser Gruppe gilt, indem Sie die Gruppe Finanz im Assistenten für Regeln auswählen.

Positivliste der Benutzer

Sie können Richtlinien für die Sitzungsaufzeichnung erstellen, die sicherstellen, dass die Sitzungen bestimmter Benutzer im Unternehmen nie aufgezeichnet werden. Dies wird Positivliste der Benutzer genannt. Positivlisten sind nützlich für Benutzer, die mit datenschutzrelevanten Informationen umgehen oder wenn Ihre Organisation die Sitzungen einer bestimmten Mitarbeiterklasse nicht aufzeichnen möchte.

Wenn beispielsweise alle Mitglieder der Geschäftsleitung im Unternehmen zu einer Active Directory-Gruppe Geschäftsführung gehören, können Sie sicherstellen, dass die Sitzungen dieser Benutzer nie aufgezeichnet werden, indem Sie eine Regel erstellen, mit der die Sitzungsaufzeichnung für die Gruppe Geschäftsführung deaktiviert wird. Während die Richtlinie, die diese Regel enthält, aktiv ist, werden keine Sitzungen der Mitglieder der Gruppe “Geschäftsführung” aufgezeichnet. Die Sitzungen anderer Mitarbeiter im Unternehmen werden basierend auf den anderen Regeln in der aktiven Richtlinie aufgezeichnet.

Konfigurieren von Director zur Verwendung des Sitzungsaufzeichnungsservers

Sie können mit der Director-Konsole die Aufzeichnungsrichtlinien erstellen und aktivieren.

1. Zur Verwendung einer HTTPS-Verbindung installieren Sie das Zertifikat zum Vertrauen des Sitzungsaufzeichnungsservers im Ordner mit den vertrauenswürdigen Stammzertifikaten des Director-Servers.
2. Zum Konfigurieren des Director-Servers für die Verwendung des Sitzungsaufzeichnungsservers führen Sie den Befehl C:\inetpub\wwwroot\Director\tools\DirectorConfig.exe /configsessionrecording aus.
3. Geben Sie die IP-Adresse bzw. den FQDN des Sitzungsaufzeichnungsservers, die Portnummer und den Verbindungstyp (HTTP/HTTPS) für die Verbindung zwischen Sitzungsaufzeichnungsagent und Sitzungsaufzeichnungsbroker auf dem Director-Server ein.

Grundlegendes zu Rollover

Wenn Sie eine Richtlinie aktivieren, bleibt die zuvor aktive Richtlinie so lange in Kraft, bis die aufgezeichnete Sitzung endet oder ein Rollover der Sitzungsaufzeichnungsdatei erfolgt. Ein Dateirollover tritt auf, wenn die Dateien die maximale Größe oder Aufzeichnungsdauer erreicht haben. Weitere Informationen zu den Rollover-Schwellenwerten finden Sie unter Dateigröße für Aufzeichnungen angeben.

In der folgenden Tabelle werden die Vorgänge beschrieben, die beim Anwenden einer neuen Aufzeichnungsrichtlinie auftreten, während eine Sitzung aufgezeichnet wird und ein Rollover erfolgt: